From noticias@hispasec.com@2:341/201.99 to All on Tue May 27 03:50:02 2008
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 26/05/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Escalada de privilegios en Cisco Voice Portal 4.x y 7.x
-------------------------------------------------------
Se ha encontrado una vulnerabilidad en Cisco Unified Customer Voice
Portal (CVP), parte de Cisco Customer Interaction Network solution que
podría ser aprovechada por un atacante para escalar privilegios.
Cisco Unified Customer Voice Portal es una solución automática de
autoservicio de voz basada en XML que funciona con los productos de
atención asistida al cliente de Cisco Unified Contact Center.
Existen tres tipos de roles en CVP: superusuario, administrador y acceso
de solo lectura. Debido a una vulnerabilidad no especificada, y
localizada en CVP, un atacante con rol de administrador podría crear,
modificar o borrar una cuenta de superusuario, que goza de mayores
privilegios.
La vulnerabilidad afecta a las versiones del software CVP anteriores a
la 4.0(2)_ES14 para 4.0.x, a la 4.1(1)_ES11 para 4.1.x y a la 7.0(1)
para 7.x.
Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema. Se aconseja
consultar la tabla de versiones vulnerables y contramedidas en: http://www.cisco.com/warp/public/707/cisco-sa-20080521-cvp.shtml